Implicaciones de Azure en Directorio Activo. Mejorando la seguridad al conectar suscripciones de Azure AD.


Buenos dias,

Hace poco vimos “Cómo conectar Directorios Activos de nuestras suscripciones de Azure y de Office 365” en el siguiente post:

Conectar Directorios Activos de nuestras suscripciones de Azure y Office 365.

Una de las dudas, a nivel de Seguridad, que me generaba era que cuando conectábamos AAD1 (suscripción de Azure) y AAD2 (suscripción de Office 365), nos aparecía este mensaje: … se convertirá en “Global Admin” del directorio “Trasto”:

Connect_00010

O sea, que con el usuario Administrador de AAD1 tengo acceso “Full control” sobre la suscripción de Office 365!!!!! Y puedo borrar cualquier usuario del AAD2!!!!. ¿Pero esto no es lo que yo quería? ¿Que ha pasado?. Esta era la situación:

Connect_00013

Todo controlado. Está claro, como hemos visto y nos ha informado Azure AD perfectamente, que al conectar ambos dominios se necesitan credenciales de Global Admin en Origen y en Destino, como si de dos Directorios Activos On-premises se tratase. Veamos desde este prisma y lo entenderemos mejor. Y al usuario de AAD1 se le proporcionan estos privilegios en AAD2. Aqui está el Quiz de la cuestión.

Ahora bien, si queremos restringir estos permisos, que es que si, obviamente, tenemos que cambiarlos, quitar los superpoders de Global Admin del usuario de AAD1 en AAD2, y tenemos las siguientes opciones de roles que podemos asignar:

Connect_00020

Lo que buscamos es que desde AAD1 tengamos acceso a seleccionar usuarios de AAD2 para poder darles privilegios sobre los diversos Resource Groups de nuestra suscripción de Azure, por lo tanto, y como dice el Gran Cervigon un “usuario pelao”nos vale, pues seleccionamos User:

Connect_00021

Ahora el usuario Global Administrator de AAD1 es un “usuario pelao” de AAD2. Comprobemos, por un lado, que no vemos nada de AAD2:

Connect_00022

Correcto. Y, por otro lado, que podemos asignar privilegios a los usuarios de AAD2 …

Connect_00023También correcto. Esto es todo lo que queríamos desde el principio.

Un abrazo y buena semana,

Roberto

Anuncios

Publicado el 30/05/2016 en Azure, Directorio Activo y etiquetado en . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

masrobeznoquenunca

Comparto lo que hago y lo que veo.

El camino de un ITPro

El camino de un ITPro

adumont

Just another WordPress.com weblog

Marco Antonio's space

Una mirada dentro de mis ratos libres...

Marcelo Ruiz

Network and SocialMedia

A Digital Frontier...

Blog personal de Robert Garrandés Simancas ("Versión Beta")

enero11

Literatura para romper el tiempo.

A %d blogueros les gusta esto: